RGPD : L’année d’après...
Le délai pour mettre en place le RGPD est arrivé à échéance et beaucoup d’organisation ne sont pas conformes est pour celles qui ont fait l’effort de se mettre en conformité les premiers audits risquent d’apporter quelques surprises…
Compte tenu des enjeux, le RGPD a fait beaucoup de bruit en 2018, les montants, les obligations et le champ d’application, y sont pour beaucoup. Le changement radical tant au niveau organisationnel que culturel oblige à bousculer les lignes. Ainsi il fait partie des risques les plus importants pour cette année derrière les cyber risques.
Dans ce contexte, d’autres pays hors UE se mettent en ordre de marche comme la Chine, disposition largement inspirées du RGPD, lui-même largement inspirés de travail de l’Iso 29k. La protection de données devenant un moyen pour les pays de s'affronter sur le terrain du numérique par le bais des lois en vigueurs sur le pays, bienvenue dans le XXIe siècle.
Compte tenu de la position de la CNIL, le premier risque à anticiper est le risque de réputation, devant une diffusion par les média d’une éventuelle sanction ou d’un rappel à l’ordre de la CNIL il est nécessaire d’être préparé. En effet même si le risque financier semble peu élevé, penser à ce que va vous coûter l’atteinte à votre image en cas de manquement au règlement.
Vous passerez pour au mieux une organisation incompétentes, au pire pour des pousses au crime et ça on ne vous le pardonnera pas facilement d’autant que vous risquez, avant même toute sanction administrative d’être marqué au fer rouge que constitue une sanction CNIL ou un rappel à l’ordre public.
C’est dans cette optique qu’il faut travailler cette année pour ce faire, il faut que vous ayez à disposition
- Un plan précis de mise en conformité, personne de laissera passer la sensation d’amateurisme
- Des processus de traitements des failles et des fuites de données, on vous jugera à la capacité de réagir et d’arrêter les fuites de données. Cela passe notamment par votre rapidité à prévenir la CBIL dans les bons délais (moins de 72 heures) et avec le bon niveau d’information.
- Une documentation à jour, à minima le registre, les analyses d’impacts, les procédures d’alertes, et les moyens déployés pour faire valoir les droits des personnes dont vous utilisez les données (droit à l’information par exemple).
- Une anticipation de la crise pouvant être généré soit par un contrôle inopiné soit par un problème de confidentialité, d’intégrité ou de disponibilités des données personnelles. C’est ici que l’on rejoint d’autres champs du management que sont la résilience et la gestion de crise.
Un client, usager ou prospects pourra pardonner une perte d’argent mais n’oubliera jamais si vous l’avez mis en danger alors soyez prêts à anticiper les nouveaux événements rendus possible par le RGPD… Vous voilà prévenus, 2019 sera l'année de la mise en conformité finale et d'un passage forcé à l'opérationnel soyez préparés...
Stay Tuned
Eric